汪忧草:12306站错把漏洞当“老鼠洞”
最近几天,12306站用户数据泄露成为大众关注焦点,铁路警方迅速抓获了泄密嫌疑人。昨日12306站已加入补天全球最大的漏洞响应平台,开始漏洞修复。站主管方中国铁道科学研究院最高悬赏2000元,号召友查找漏洞。(12月28日《新京报》) 此前,360安全专家表示,经补天漏洞平台检测,发现12306的手机APP存在漏洞,并称已将这一漏洞通报中国铁路客户服务中心进行修复。12306对此进行了积极响应,并加入了漏洞响应平台,还对民们悬赏2000元,号召大家一起帮助站查漏洞。 对于这2000元的悬赏,民们似乎并不怎么买账,从“造价5个亿哟。找个漏洞2000元。有钱,任性”,到“漏洞太多,不敢多给啊”,各种挖苦应有尽有。甚至有民表示:“只有2000元,不知道是我看错了还是小编写错了,不知道是二千英镑还是二千美元,看来铁路公司对自己的络很没信心,这赏金就是他们对自己的信心度,赏金应该提到二十万或一百万,那才有激励作用,对二千只能说呵呵!” 民们的挖苦也不是没有道理。不久前,外媒曾报道一位美国5岁男孩意外发现微软云端游戏平台Xbox Live的安全漏洞,无须输入正确密码便可进入父亲的Xbox Live账户,其父随即将这一漏洞报告给了微软。微软把5岁男孩名字加入感谢专页和安全研究人员名单,并赠送他4款游戏以及为期1年的Xbox Live服务作为礼物。应该说,微软公司对一位发现安全漏洞的小屁孩,居然这么“礼遇有加”,确实有值得我们借鉴的地方。 反观咱们的12306站,在13万用户信息遭到泄露之后,虽最终鼓起勇气向民们请求帮助,却弄出一个不伦不类的2000元“最高悬赏”,就实在有点儿说不过去。话说络安全漏洞可是个技术活儿,就算你请来1000个农民工加班加点工作,还不一定能查出个所以然来。这倒不是对农民工兄弟大不敬,而是因为术业有专攻,只有很专业的人士才可能查找并发现安全漏洞。 对于这样专业性很强的工作,12306站放低身段向外界求援,这是可取的。但当他们画蛇添足一般地加上个2000元“最高悬赏”,不但显得很“小家子气”,似乎也“很不专业”:他们误以为安全漏洞就如同老鼠洞一般,随便什么人只要花些时间就能找到。这样一种认知,恐怕也是12306火车购票平台这几年花了几个亿还是一直做得不到位的症结之所在。
作者:汪忧草
:姬学涛)